[发明专利]提高特征库有效性的检测方法及系统

权利要求书

1.一种提高特征库有效性的检测方法，其特征在于，包括以下步骤：

S1、将被检测的特征与特征库中同类型的每一个特征进行对比，检测是否存在特征冲突，如果存在特征冲突，则转到步骤S2；如果不存在特征冲突，则结束；

S2、记录出现冲突的特征和相应的协议，判断冲突的类型，如果冲突特征完全相同，则转到步骤S3；如果一特征标记报文的位置是另外特征标记报文的位置的真子集，且同一位置的特征值相等，即特征之间存在相互包含，则转到步骤S4；如果特征标记报文的位置没有交集，或者特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则转到步骤S5；

S3、修改冲突特征中的至少一个特征，然后返回步骤S1；

S4、调整特征库中存在冲突的特征的位置，避免冲突，结束；

S5、设定一个临界值，临界值是指特征与被分析数据之间对比后相同的部分或者相同部分的长度所占特征长度的比例，临界值根据实际情况进行修改；统计冲突特征标记字节的数量或者计算冲突特征标记的比例，判断冲突概率的大小，如果冲突特征标记字节的数量/比例＞临界值，或者冲突特征标记字节的数量/比例＝临界值，则认为出现特征冲突的概率＞实际网络协议的数量级，转到步骤S6；如果冲突特征标记字节的数量/比例＜临界值，则认为出现特征冲突的概率＜实际网络协议的数量级，结束；

S6、修改冲突特征中的至少一个特征，增强特征条件，直到不存在冲突或者冲突特征标记字节的数量/比例＜临界值，结束。

2.如权利要求1所述的提高特征库有效性的检测方法，其特征在于：步骤S1中所述存在特征冲突有2种情况：

(1)检测到第一个特征冲突存在，即停止对比；

(2)检测到第一个特征冲突存在后继续检测，直到对比全部完成，获得全部存在的特征冲突，全部特征冲突的总数量≥1。

3.一种提高特征库有效性的检测系统，其特征在于：该系统包括特征冲突检测模块、特征修改模块、冲突特征位置调整模块、概率性影响处理模块，其中：

所述特征冲突检测模块用于：将被检测的特征与特征库中同类型的每一个特征进行对比，检测是否存在特征冲突，如果不存在特征冲突，则结束；如果存在特征冲突，则记录出现冲突的特征和相应的协议，判断冲突的类型，如果冲突特征完全相同，则通知特征修改模块进行处理；如果一特征标记报文的位置是另外特征标记报文的位置的真子集，且同一位置的特征值相等，即特征之间存在相互包含，则通知冲突特征位置调整模块进行处理；如果特征标记报文的位置没有交集，或者特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则通知概率性影响处理模块进行处理；

所述特征修改模块用于：修改冲突特征中的至少一个特征，然后将修改后的特征发往特征冲突检测模块，通知特征冲突检测模块继续进行对比；

所述冲突特征位置调整模块用于：调整特征库中存在冲突的特征的位置，避免冲突；

所述概率性影响处理模块用于：设定一个临界值，临界值是指特征与被分析数据之间对比后相同的部分或者相同部分的长度所占特征长度的比例，临界值根据实际情况进行修改；统计冲突特征标记字节的数量或者计算冲突特征标记的比例，判断冲突概率的大小，如果冲突特征标记字节的数量/比例＞临界值，或者冲突特征标记字节的数量/比例＝临界值，则认为出现特征冲突的概率＞实际网络协议的数量级，修改冲突特征中的至少一个特征，增强特征条件，直到不存在冲突或者冲突特征标记字节的数量/比例＜临界值；如果冲突特征标记字节的数量/比例＜临界值，则认为出现特征冲突的概率＜实际网络协议的数量级，结束。

4.如权利要求3所述的提高特征库有效性的检测系统，其特征在于：所述存在特征冲突有2种情况：

(1)检测到第一个特征冲突存在，即停止对比；

(2)检测到第一个特征冲突存在后继续检测，直到对比全部完成，获得全部存在的特征冲突，全部特征冲突的总数量≥1。